Red Hat ati Google, papọ pẹlu Ile-ẹkọ giga Purdue, ṣe ipilẹ iṣẹ Sigstore, ti o ni ero lati ṣiṣẹda awọn irinṣẹ ati awọn iṣẹ fun ijẹrisi sọfitiwia nipa lilo awọn ibuwọlu oni-nọmba ati mimu akọọlẹ gbogbo eniyan lati jẹrisi otitọ (igbasilẹ akoyawo). Ise agbese na yoo ni idagbasoke labẹ abojuto ti ajọ ti kii ṣe èrè Linux Foundation.
Ise agbese ti a dabaa yoo ṣe ilọsiwaju aabo ti awọn ikanni pinpin sọfitiwia ati daabobo lodi si awọn ikọlu ti a pinnu lati rọpo awọn paati sọfitiwia ati awọn igbẹkẹle (ẹwọn ipese). Ọkan ninu awọn iṣoro aabo bọtini ni sọfitiwia orisun ṣiṣi ni iṣoro ti ijẹrisi orisun ti eto naa ati ijẹrisi ilana ṣiṣe. Fun apẹẹrẹ, pupọ julọ awọn iṣẹ akanṣe lo hashes lati rii daju iduroṣinṣin ti itusilẹ, ṣugbọn nigbagbogbo alaye pataki fun ijẹrisi ti wa ni ipamọ sori awọn eto ti ko ni aabo ati ni awọn ibi ipamọ koodu pinpin, nitori abajade eyiti awọn ikọlu le ba awọn faili pataki fun ijẹrisi ati ṣafihan awọn ayipada irira laisi igbega ifura.
Nikan ipin kekere ti awọn iṣẹ akanṣe lo awọn ibuwọlu oni nọmba nigbati o n pin awọn idasilẹ nitori awọn iṣoro ni ṣiṣakoso awọn bọtini, pinpin awọn bọtini gbangba, ati fifagilee awọn bọtini ti o gbogun. Ni ibere fun ijerisi lati ni oye, o tun jẹ dandan lati ṣeto ilana igbẹkẹle ati aabo fun pinpin awọn bọtini gbangba ati awọn sọwedowo. Paapaa pẹlu ibuwọlu oni-nọmba kan, ọpọlọpọ awọn olumulo foju foju rii daju nitori wọn nilo lati lo akoko kika ilana ijẹrisi ati oye bọtini wo ni igbẹkẹle.
Sigstore jẹ deede ti Jẹ ki ká Encrypt fun koodu, pese awọn iwe-ẹri fun koodu iforukọsilẹ oni nọmba ati awọn irinṣẹ fun ṣiṣe adaṣe adaṣe. Pẹlu Sigstore, awọn olupilẹṣẹ le forukọsilẹ ni oni nọmba awọn ohun elo ti o ni ibatan si awọn ohun elo bii awọn faili itusilẹ, awọn aworan apoti, awọn ifihan, ati awọn imuṣiṣẹ. Ẹya pataki ti Sigstore ni pe ohun elo ti a lo fun wíwọlé jẹ afihan ninu iwe-ifọwọsi ti gbogbo eniyan ti o jẹri ti o le ṣee lo fun ijẹrisi ati iṣatunṣe.
Dipo awọn bọtini ti o yẹ, Sigstore nlo awọn bọtini ephemeral igba diẹ, eyiti o jẹ ipilẹṣẹ ti o da lori awọn iwe-ẹri ti a fọwọsi nipasẹ awọn olupese OpenID Connect (ni akoko ti ipilẹṣẹ awọn bọtini fun ibuwọlu oni-nọmba, olupilẹṣẹ ṣe idanimọ ararẹ nipasẹ olupese OpenID ti o sopọ mọ imeeli). Ìdánilójú ti àwọn kọ́kọ́rọ́ náà jẹ́ ìdánilójú nípa lílo àkọọ́lẹ̀ tí a sọ̀rọ̀ síwájú gbogbo ènìyàn, èyí tí ó jẹ́ kí ó ṣeé ṣe láti ṣàrídájú pé olùkọ̀wé ìbùwọ̀ náà gan-an ni ẹni tí ó sọ pé ó jẹ́ àti pé ó jẹ́ dídá ìfọwọ́sí náà látọwọ́ olùkópa kan náà tí ó ní ojúṣe fún àwọn ìtújáde tí ó ti kọjá.
Sigstore pese mejeeji iṣẹ ti a ti ṣetan ti o le lo tẹlẹ, ati ṣeto awọn irinṣẹ ti o gba ọ laaye lati ran awọn iṣẹ ti o jọra sori ẹrọ tirẹ. Iṣẹ naa jẹ ọfẹ fun gbogbo awọn olupilẹṣẹ ati awọn olupese sọfitiwia, ati pe o ti gbe lọ sori pẹpẹ didoju - Linux Foundation. Gbogbo awọn paati iṣẹ naa jẹ orisun ṣiṣi, ti a kọ sinu Go ati pinpin labẹ iwe-aṣẹ Apache 2.0.
Lara awọn eroja ti o ni idagbasoke a le ṣe akiyesi:
- Rekor jẹ imuse log kan fun titoju awọn metadata fowo si oni nọmba ti n ṣe afihan alaye nipa awọn iṣẹ akanṣe. Lati rii daju pe iduroṣinṣin ati aabo lodi si ibajẹ data lẹhin ti o daju, a lo ọna-igi bi “Igi Merkle”, ninu eyiti ẹka kọọkan n ṣe idaniloju gbogbo awọn ẹka ati awọn apa ti o wa labẹ, o ṣeun si apapọ (igi-bi) hashing. Nini hash ikẹhin, olumulo le rii daju deede ti gbogbo itan-akọọlẹ ti awọn iṣẹ, bakanna bi deede ti awọn ipinlẹ ti o kọja ti data data (hash ijẹrisi root ti ipo tuntun ti data jẹ iṣiro ni akiyesi ipo ti o kọja. ). Lati jẹrisi ati ṣafikun awọn igbasilẹ tuntun, API Restful ti pese, bakanna bi wiwo cli kan.
- Fulcio (SigStore WebPKI) jẹ eto fun ṣiṣẹda awọn alaṣẹ iwe-ẹri (Root-CAs) ti o fun awọn iwe-ẹri igba kukuru ti o da lori imeeli ti o jẹri nipasẹ OpenID Connect. Igbesi aye ijẹrisi naa jẹ iṣẹju 20, lakoko eyiti olupilẹṣẹ gbọdọ ni akoko lati ṣe agbekalẹ ibuwọlu oni nọmba kan (ti ijẹrisi naa ba ṣubu si ọwọ ikọlu kan, yoo ti pari tẹlẹ).
- Сosign (Iforukọsilẹ Apoti) jẹ ohun elo irinṣẹ fun ṣiṣẹda awọn ibuwọlu fun awọn apoti, ijẹrisi awọn ibuwọlu ati gbigbe awọn apoti ti o fowo si ni awọn ibi ipamọ ti o ni ibamu pẹlu OCI (Open Container Initiative).
orisun: opennet.ru